prob_3

3번을 처음 들어가면 아래 사진과 같은 표가 화면에 나옵니다.

그림을 클릭해 보면 검은색으로 바뀌는 효과가 일어나는데 표 안에 있는 숫자들은 그 줄에 검은색이 몇 개 있는 지를 나타냅니다. 그래서 아래와 같은 그림이 나오게 됩니다. 다음으로 넘어가려면 gogo를 클릭합니다.

gogo 클릭 후 아래 사진이 나옵니다.

아무 값으로 admin을 넣은 후 나온 것은 name, answer, ip가 나옵니다.

개발자 옵션을 보면 타입은 hidden으로 사용자가 볼 수 없도록되어 있고, name은 answer, value는 1010100000011100101011111이다.

SQL injection 구문을 value의 값에 or 1을 시도해 보았다.

결과로 'no hack'이 나왔다.

or이 아닌 or과 같은 역할을 하는 || 넣고 true를 반환하게 된다. (=도 필터링이 되어 있어서 ||1을 보내주고 이름은 위와 같이 admin를 주었다.)

answer에 값이 나온다.(값은 authkey에 입력하면 됨.)